Почему в России нельзя обеспечить ИБ облаков?

Почему в России нельзя обеспечить безопасность облачных вычислений

Лукацкий Алексей, консультант по безопасности

У меня нет задачи остановить переход к облачным облакам – мы сами их используем повсеместно

2

Число CSP (400+) Sales

Finance

Manfacturing

C&C Platform

CDO

Consumer IT

Customer Service

HR

Acquisitions

Cisco является одним из крупнейших в мире пользователей облачных услуг

ЧТО ТАКОЕ ОБЛАКА?

Три основных типа облака

Публичное

Гибридное

Частное

Составные части любого типа облака

5

Виртуализция Железо ПО

Согласование (orchestration) Хранение Сервисы

IaaS PaaS SaaS

Сервисы Сервисы Сервисы

Арендаторы Потребители

Сеть

Облачные сервисы

Облачные вычисления

Энерго-снабжение

SaaS - наиболее популярная облачная модель

IaaS

•  Хранение •  Вычисления •  Управление сервисами

•  Сеть, безопасность…

PaaS

•  Бизнес-аналитика •  Интеграция •  Разработка и тестирование

•  Базы данных

SaaS

•  Биллинг •  Финансы •  Продажи •  CRM •  Продуктивность сотрудников

•  HRM •  Управление контентом

•  Унифицированные коммуникации

•  Социальные сети •  Резервные копии •  Управление документами

Ключевые риски при переходе к облакам

•  Сетевая доступность •  Жизнеспособность (устойчивость) •  Непрерывность бизнеса и восстановление после сбоев •  Инциденты безопасности •  Прозрачность облачного провайдера •  Потеря физического контроля •  Новые риски и уязвимости •  Соответствие требованиям

ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?

Что такое информационная безопасность?

•  Сохранение конфиденциальности, целостности и доступности информации. Кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность –  ГОСТ Р ИСО/МЭК 27002

•  Цель информационной безопасности заключается в защите информации и информационных систем от несанкционированного доступа, использования, раскрытия, перебоев, изменения или уничтожения

За счет чего достигается информационная безопасность?

•  Информационная безопасность включает в себя –  Политика в области защиты –  Организация защиты информации –  Менеджмент активов –  Защита человеческих ресурсов –  Физическая безопасность и безопасность окружения –  Управление средствами связи и операциями –  Управление доступом –  Приобретение, разработка и поддержание в рабочем состоянии ИС –  Управление инцидентами –  Менеджмент непрерывности –  Соответствие требованиям

БЕЗОПАСНОСТЬ ОБЛАКА

На каком уровне вы способны обеспечивать безопасность в своей корпоративной сети уже сейчас?

•  Вы можете гарантировать отсутствие закладок на аппаратном уровне?

•  Вы защищаете и внутреннюю сеть или только периметр?

•  Как у вас обстоит дело с защитой виртуализации? А SDN вы не внедряли еще?

•  Вы знаете механизмы защиты своих операционных систем? А вы их используете?

•  А механизмы защиты своих приложений вы знаете? А используете?

•  А данные у вас классифицированы?

Разные возможности по реализации системы защиты для разных сервисных моделей

•  В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно

IaaS�

Провайдер

Заказчик

VMs/Containers

ОС/Приложения

Данные

PaaS �

Приложения

Провайдер

Заказчик Данные

SaaS�

Провайдер

Типы облачных моделей и средства защиты

IaaS

•  Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу

PaaS

•  Заказчик облачных услуг привязан к предоставляемой платформе

•  Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере

•  Заказчик может настраивать функции защиты приложений

•  Компромисс между средствами защиты и облачными услугами

SaaS

•  Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака

•  Выбор лежит на облачном провайдере

Особенности защиты IaaS

Защитная мера Нюансы реализации (з / о)

Политика в области защиты 50 / 50 Организация защиты информации 50 / 50 Менеджмент активов 50 / 50 Защита человеческих ресурсов 30 / 70 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 35 / 65 Управление доступом 60 / 40 Приобретение, разработка и поддержание в рабочем состоянии ИС

60 / 40

Управление инцидентами 60 / 40 Менеджмент непрерывности 30 / 70 Соответствие требованиям 70 / 30

Защита IaaS: обратите внимание

•  Ограничения на установку определенных средств защиты в инфраструктуру облачного провайдера

•  Возможность установки собственных средств шифрования •  Экспорт из России средств шифрования

–  На все площадки облачного провайдера в разных странах мира •  Обслуживание (замена) вышедших из строя средств защиты, особенно средств шифрования

•  Защита данных при доступе с мобильных устройств –  Особенно в контексте шифрования трафика

Особенности защиты PaaS



50 / 50


Защита PaaS: обратите внимание

•  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю?

Особенности защиты SaaS



0 / 100


Защита SaaS: обратите внимание

•  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю?

•  Как вообще вы можете повлиять на реализацию и эксплуатацию системы ИБ у облачного провайдера?

Типы облаков с точки зрения ИБ и compliance

Частное

•  Управляется организацией или третьим лицом

•  Обеспечение безопасности легко реализуемо

•  Вопросы законодательного регулирования легко решаемы

Публичное (локальное)

•  Управляется одним юридическим лицом

•  Обеспечение безопасности реализуемо средними усилиями

•  Вопросы законодательного регулирования решаемы средними усилиями

Публичное (глобальное)

•  Управляется множеством юридических лиц

•  Требования по безопасности различаются в разных странах

•  Законодательные требования различаются в разных странах

ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ

Возможности по контролю изменчивы

23

Публичное

Гибридное

Сообщество

Частное

Аутсорсинг

Инсорсинг

Внешнее

Внутреннее

Возможности по контролю меняются в зависимости от вида

эксплуатации, расположения и типа

облака

В публичном облаке меньше контроля

Частное облако Публичное облако Соответствие Предприятие Облачный провайдер Governance Предприятие Облачный провайдер Безопасность Предприятие Облачный провайдер Эксплуатация Предприятие Облачный провайдер Риски Предприятие Распределены между

предприятием и облачным провайдером

Владелец облака Предприятие или арендодатель

Облачный провайдер

Использование ограничено

Предприятием Ничем

24

НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ ВОПРОСЫ

Обратите внимание и на другие вопросы

•  Трансграничная передача персональных данных –  Потребует от заказчика облачных услуг получить письменное согласие субъекта персональных данных

–  Реализация легального шифрования на площадках в разных странах мира

–  Реализация легального шифрования на мобильных платформах •  Обработка государственных информационных ресурсов

–  Облачный провайдер не может передавать ГИР за пределы России согласно 351-му Указу Президента

–  Облачный провайдер должен соответствовать требованиям 17-го приказа ФСТЭК от 2013-го года

–  Облачный провайдер должен использовать только сертифицированные средства защиты и(или) аттестовать свои ИС

Обратите внимание и на другие вопросы

•  Облачный провайдер обязан предоставить доступ спецслужбам, правоохранительным и судебным органам по мотивированному (или немотивированному) запросу –  А иногда облачный провайдер и не будет знать, что такой доступ имеется

–  А вас он не обязан ставить в известность о таком доступе •  Контроль облачного провайдера

–  Вам придется переориентироваться с собственной защиты на контроль чужой защиты

–  На каком языке вы будете общаться с зарубежным облачным провайдером?

•  Предоставление услуг по защите информации – это лицензируемый вид деятельности –  У облачного провайдера есть лицензии ФСТЭК и ФСБ?

Изменение парадигмы ИБ регуляторов при переходе в публичное облако

Один объект = один субъект

Один объект = множество субъектов

•  Защищать надо не только отдельных субъектов, но и взаимодействие между ними

•  С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса

ТАК ЧТО ЖЕ ВСЕ-ТАКИ ДЕЛАТЬ?

Если вы все-таки решились

•  Стратегия безопасности облачных вычислений –  Пересмотрите свой взгляд на понятие «периметра ИБ» –  Оцените риски – стратегические, операционные, юридические –  Сформируйте модель угроз –  Сформулируйте требования по безопасности –  Пересмотрите собственные процессы обеспечения ИБ –  Проведите обучение пользователей –  Продумайте процедуры контроля облачного провайдера –  Юридическая проработка взаимодействия с облачным провайдером

•  Стратегия выбора аутсорсера –  Чеклист оценки ИБ облачного провайдера –  Посмотрите мою презентацию с прошлого ИноБЕРЕГа

Cisco Cloud Risk Assessment Framework

31

R1: Data Risk and

Accountability R2: User Identity R3: Regulatory

Compliance

R4: Business Continuity & Resiliency

R5: User Privacy & Secondary Usage of Data

R6: Service & Data Integration

R7: Multi-tenancy & Physical Security

R8: Incident Analysis & Forensics

R9: Infrastructure

Security

R10: Non-production

Environment Exposure

Выбор облачного провайдера с точки зрения ИБ

•  Защита данных и обеспечение privacy •  Управление уязвимостями •  Управление identity •  Объектовая охрана и персонал •  Доступность и производительность •  Безопасность приложений •  Управление инцидентами •  Непрерывность бизнеса и восстановление после катастроф •  Ведение журналов регистрации (eDiscovery) •  Сompliance •  Финансовые гарантии •  Завершение контракта •  Интеллектуальная собственность

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 33

Благодарю вас за внимание

[email protected]

Documents

Почему в России нельзя обеспечить ИБ облаков?